Los que ya conocemos a WordPress sabemos de lo que es capaz, desde la creación de blogs hasta carros de compras. Por momentos parece que esta herramienta no tiene límites, pero la libertad que muchas veces nos provee este CMS de código abierto, también abre puertas para los ataques. El objetivo de esta publicación es proteger nuestros usuarios de WordPress al iniciar sesión.
Seguro más de una vez algún especialista en seguridad en informática te ha dicho de lo importante de tener una contraseña difícil, para proteger mejor el acceso de tu usuario. Incluso algunas plataformas como las de los bancos nos obligan a tener una contraseña con una seguridad alta. Y aunque puede ser molesto para el usuario el pensar en una contraseña con combinaciones de minúsculas, mayúsculas, letras y símbolos; es la forma más segura de proteger sus datos.
Si tenés una aplicación web hecha con WordPress, muy probablemente en alguna parte del mundo, hay una máquina, un robot, intentando romper la seguridad de tu usuario a través de fuerza bruta. No, no es broma. Básicamente este atacante ingresa tu usuario y tiene un diccionario de contraseñas, las cuales irá probando hasta intentar adivinarla, aunque si tu contraseña tiene una seguridad alta, probablemente no lo logre.
Está de más decir que es un error tremendo tener contraseñas como ‘admin’, ‘1234’, ‘querty.’ Acá una lista de las contraseñas que nunca debes usar:
https://en.wikipedia.org/wiki/List_of_the_most_common_passwords
Google reCaptcha
Probablemente alguna vez lo hayas visto esta caja para tildas y un texto: ‘No soy un robot’. Esto protege al usuario justamente de lo que nombré anteriormente, los ataques de estas máquinas.
Bueno, para agregar esa funcionalidad a nuestro sitio, vamos a iniciar sesión con nuestro usuario y contraseña del sitio de WordPress en cuestión y vamos a dirigirnos a Plugins –> Añadir nuevo. Buscamos el que tiene el siguiente nombre: Simple Google reCAPTCHA.
Lo instalamos y luego lo activamos.
Nos va a pedir que ingresemos el Site key y el Secret Key.
Esto nos lo provee Google, y para obtenerlo debemos ir a la siguiente página:
https://www.google.com/recaptcha/admin#list
Ingresamos una etiqueta que nos va a poder agrupar nuestros sitios con los mismos códigos. Luego el tipo de Captcha, en nuestro caso: reCaptcha V2. Y por último la url de nuestro sitio, en caso de tener más de uno, los separamos con un espacio.
Aceptamos los terminos y Google nos dará las claves, las cuales debemos ingresar en el formulario que vimos anteriormente, la que nos pedía nuestro plugin. Hacemos clic en el botón ‘Guardar cambios’.
Listo, ahora nuestro inicio de sesión está seguro de los ataques de estos robots.